OpenSSLがアップデート - 「Lucky13攻撃」関連など脆弱性5件を修正
OpenSSLの開発チームは、重要度「高」を含む5件の脆弱性に対処したアップデートをリリースした。
修正を公開したOpenSSL
「DROWN」で知られる脆弱性「CVE-2016-0800」に対応した3月のアップデートからおよそ2カ月ぶりの修正で、重要度「高(High)」の脆弱性1件や、「低(Low)」の脆弱性4件に対処した。
重要度「高」の脆弱性は、パディングオラクル攻撃が可能となる脆弱性「CVE-2016-2107」。「マンインザミドル攻撃(MITM攻撃)」により、通信内容が解読されるおそれがある。パディングオラクル攻撃の一種である「Lucky Thirteen攻撃」の脆弱性「CVE-2013-0169」に関連した修正だという。
開発者チームは、同脆弱性を含む5件の脆弱性を「OpenSSL 1.0.2h」および「同1.0.1t」にて解消した。
また今回のアップデートにあわせて、2015年4月より以前のバージョンに影響を与える重要度「高」のメモリ破壊の脆弱性「CVE-2016-2108」もあらたに明らかとなった。「同1.0.2c」「同1.0.1o」以降であれば影響を受けないが、あわせて注意を呼びかけている。
今回明らかとなった脆弱性は以下のとおり。
CVE-2016-2108
CVE-2013-0169
CVE-2016-2105
CVE-2016-2106
CVE-2016-2109
CVE-2016-2176
(Security NEXT - 2016/05/06 )
ツイート
PR
関連記事
「macOS Tahoe 26.4」を提供開始 - 脆弱性77件に対処
ウェブサーバ「NGINX」に定例外アドバイザリ - 複数脆弱性を修正
「Node.js」にDoSなど複数脆弱性 - アップデートが公開
「Langflow」の公開フローAPIに深刻なRCE脆弱性 - 悪用も確認
「BIND 9」に複数の脆弱性 - アップデートが公開
「iOS 26.4」公開、脆弱性38件を修正 - 旧端末向け「iOS 18.7.7」も
「Firefox 149」で脆弱性46件を修正、延長サポート版も公開
「PyTorch」向け拡張ライブラリ「NVIDIA Apex」にクリティカル脆弱性
「IDrive」Windows向けクライアントに脆弱性 - アップデートは準備中
「Xerox FreeFlow Core」に深刻な脆弱性、対策の実施を
